新しいサイバー攻撃キャンペーンが、人気のある火绒セキュリティアンチウイルスサイトの説得力のある模倣を使用して、強力なリモートアクセストロイの木馬(RAT)であるValleyRATを被害者のシステムに配備しています。
攻撃者はSilver Fox APTグループの一部と考えられており、タイポスクワッティングドメイン(huoronga[.]com)を利用して、ユーザーがセキュリティアップデートに偽装した悪意あるペイロードをダウンロードするよう誤解させています。
広く信頼されている中国のセキュリティソフトウェアブランドを悪用したこの高度な攻撃は、セキュリティに最も注意を払っているユーザーでさえ騙される可能性があることを示しています。
火绒セキュリティ(火绒)は中国で広く使用されているフリーアンチウイルスプログラムであり、攻撃者は正規の火绒.cnに似た詐欺的なサイトを巧みに作成しました。
追加の「a」を含むほぼ同一のドメイン(huoronga[.]com)を使用することで、彼らはURLを誤入力したユーザーまたはフィッシングリンクをクリックしたユーザーをターゲットにしています。
詐欺的なウェブサイトは、信頼できるソースとして見えるように設計されており、ユーザーに火绒セキュリティのダウンロード可能なバージョンを提供しています。
ユーザーがダウンロードボタンをクリックすると、リクエストは仲介ドメインを通ってルーティングされ、最終的にCloudflare R2サーバーでホストされている悪意あるペイロードに到達し、攻撃の出所をさらに隠蔽します。
ファイルはBR火绒445[.]zipという名前で、正規の火绒インストーラーであるという幻想を保ちます。ZIPアーカイブ内では、トロイの木馬化されたNSISインストーラーがバックドアを配備するために使用されます。
NSIS(Nullsoft Scriptable Install System)は正当なオープンソースフレームワークであり、マルウェアが標準的なインストーラーに見えることで検出を回避するのを助けます。
実行時に、トロイの木馬はデスクトップショートカット(火绒.lnk)を配置し、アンチウイルスが正常にインストールされたという幻想を強化します。
同時に、FFmpeg DLLやフェイク.NETリペアツールなどのおとりコンポーネントを含む複数のファイルをユーザーのTempディレクトリに抽出します。
しかし、WavesSvc64.exe(メインローダー)やDuiLib_u.dll(DLLサイドローディングを有効にするハイジャックされたDirectUIライブラリ)などの悪意あるファイルも含まれています。
検出を回避するために、マルウェアはDLLサイドローディングを使用しており、これはWindowsが正規のDLLの代わりに悪意あるDLLをロードするテクニックです。
正規のオーディオサービスプロセスに偽装したWavesSvc64.exeは、悪意あるDuiLib_u.dllの読み込みをトリガーします。このDLLはbox.iniから暗号化されたシェルコードを読み込み、それを復号化し、メモリ内で直接実行し、法医学的痕跡をほとんど残しません。
マルウェアは永続性を維持するための複数の回避戦術を採用しています。Defender除外を追加することでWindows Defenderを無効にし、セキュリティツールがマルウェアを検出するのをより困難にします。
さらに、Batteries.jobという名前のスケジュールタスクを作成して、マルウェアが各システム起動時に再起動し、感染を再確立することを保証します。
さらなる分析により、ValleyRATはキーロギング、認証情報盗難、システム偵察を含む高度な機能を備えていることが明らかになりました。
また、プロセスインジェクションを使用して活動を隠し、検出を回避します。TCP ポート443で161.248.87.250のコマンドアンドコントロール(C2)サーバーと通信し、カスタムバイナリプロトコルを使用して通常のHTTPSトラフィックに溶け込みます。
このキャンペーンから身を守るために、ダウンロードソースの正当性を検証することが重要です。火绒セキュリティがhuorong.cnからのみダウンロードされることを確認し、権限のないWindows Defender除外や疑わしいスケジュールタスクなどの異常な動作がないか定期的に監視してください。
161.248.87.250などの既知のC2 IPアドレスへの送信接続をブロックし、侵入検知システム(IDS)を配備して異常なトラフィックパターンを検出することも重要です。
翻訳元: https://cyberpress.org/fake-huorong-site-deploys-valleyrat/